6.0 管理サービスのインストール

管理サービスは、ファイアウォールの背後のセキュリティで保護されたサーバにインストールしてください。ポリシー配布サービスと同じサーバを共有することはできません(シングルサーバインストールの場合を除きます。セクション 3.0, シングルサーバインストールの実行を参照してください)。セキュリティ上の理由から、管理サービスをネットワークファイアウォールの外部にはインストールしないでください。サーバを選択したら、サーバの名前(NETBIOSと完全修飾ドメイン名(FQDN)の両方)をメモします。セキュリティ上および機能上の理由から、プライマリドメインコントローラ(PDC)に管理サービスを展開することはできません。

メモ:サーバの目的の機能には必要ないすべてのアプリケーション、サービス、アカウント、および他のオプションが無効になるように、SSIサーバを設定(強化)することをお勧めします。このための手順はローカル環境の仕様によって異なるため、前もって説明しておくことはできません。管理者は、Microsoft TechnetセキュリティセンターのWebページの該当するセクションを参照することをお勧めします。アクセス制御に関するその他の推奨事項は、『ZENworks Endpoint Security Management管理ガイド』に記載されています。

信頼されたマシンに対するアクセスのみを保護するために、仮想ディレクトリおよびIISにACLを設定できます。次の記事を参照してください。

セキュリティ上の理由から、次のデフォルトのフォルダをIISのインストールから削除することを強くお勧めします。

IISHelp
IISAdmin
スクリプト
プリンタ

microsoft.comで入手可能なIIS Lockdown Tool 2.1を使用することもお勧めします。

バージョン2.1は、IISに依存する主要なマイクロソフト製品用に提供されたテンプレートによって駆動されます。このサーバの役割に最も厳密に適合したテンプレートを選択してください。どれが適切かわからない場合は、Dynamic Webサーバテンプレートを使用することをお勧めします。

インストールを始める前に、次の前提条件が満たされていることを確認してください。

サポートされているディレクトリサービス(eDirectory、Active Directory、またはNTドメイン*)にアクセスできるようにします。*管理サービスがMicrosoft Windows 2000 Advanced Server(SP4)にインストールされている場合のみサポートされます。
eDirectory™サービスを使用して展開する場合は、Novell Client™がサーバにインストールされ、eDirectoryを正しく認証できることを確認してください。管理コンソールの認証用に使用される、変更されることのないアカウントパスワードを作成します(セクション 7.2.1, eDirectoryサービスの追加を参照)。
Endpoint Security ClientによるMSサーバ名の解決の確認: Endpoint Security Clientのインストール先のコンピュータが、MSサーバ名に対してpingを実行できることを確認します。pingに正しい応答があった場合は、この値がインストール時に入力する値になります。pingに応答がない場合は、インストールを続行する前にこの問題を解決する必要があります。
Microsoftインターネットインフォメーションサービス(IIS)を有効にするかインストールして、ASP.NETを有効にし、Secure Socket Layer(SSL)証明書を受諾するように設定します。

重要:［セキュリティで保護された通信］ページの［セキュリティで保護されたチャネルを要求する(SSL)］チェックボックスは有効にしないでください(Microsoftコンピュータの管理ユーティリティで、［サービスとアプリケーション］>［Internet Information Services (ISS) Manager (インターネットインフォメーションサービス(IIS)マネージャ)］>［Webサイト］の順に展開し、［既定のWebサイト］を右クリックし、［プロパティ］>［ディレクトリセキュリティ］タブ>［セキュリティで保護された通信］グループボックスの［編集］ボタンの順にクリックします)。このオプションを有効にすると、Zenworks Endpoint Security Managementサーバとエンドポイント上のZenworks Endpoint Security Clientとの通信が切断されます。
独自のSSL証明書を使用する場合は、ルートCAがマシンにロードされていることと、前の手順で確認済みのサーバ名(NETBIOSまたはFQDN)が、IISで設定されている証明書の「Issued to」値に一致していることを確認します。
独自の証明書を使用する場合、またはNovell自己署名証明書をインストール済みの場合は、Endpoint Security Clientがインストールされているマシンから次のURLにアクセスしてSSLを検証することもできます。https://MS_SERVER_NAME/AuthenticationServer/UserService.asmx (ここでMS_SERVER_NAMEはサーバ名です)これにより、証明書警告ではなく有効なデータ(HTMLページ)が返されます。証明書警告が返されたら、インストールの前に解決する必要があります。
サポートされているRDBMS(Microsoft SQL Server 2000 SP4、SQL Server Standard、SQL Server Enterprise、SQL 2005)にアクセスできるようにします。データベースを混合モードに設定します。
ポリシー配布サービスのセットアップIDとルートSSL証明書が格納されているESM Setup Filesディレクトリを、このサーバのインストールディレクトリにコピーします。